Google mette in guardia dal malware basato sull'intelligenza artificiale che prende di mira gli utenti di criptovalute

Gli attori delle minacce, compresi quelli con legami con la Corea del Nord, stanno utilizzando malware abilitati all'intelligenza artificiale che si riscrive in tempo reale per prendere di mira gli utenti di criptovalute, secondo un avviso emesso questa settimana da Google.

"Gli attori delle minacce associati alla Repubblica Popolare Democratica di Corea (RPDC) continuano a fare un uso improprio degli strumenti di intelligenza artificiale generativa per supportare le operazioni nelle fasi del ciclo di vita dell'attacco, in linea con i loro sforzi per prendere di mira la criptovaluta e fornire supporto finanziario al regime", ha scritto Google Threat Intelligence Group in un recente rapporto.

Il malware basato sull'intelligenza artificiale pone nuovi rischi agli utenti di criptovalute

Google ha monitorato almeno cinque distinte famiglie di malware in grado di "generare dinamicamente script dannosi, offuscare il proprio codice per eludere il rilevamento", utilizzando modelli linguistici di grandi dimensioni come Gemini e Qwen2.5-Coder durante l'esecuzione.

Il malware abilitato all'intelligenza artificiale è la nuova frontiera degli attacchi informatici e presenta un'importante escalation rispetto agli approcci precedenti, in cui le funzioni dannose erano in genere codificate direttamente nel malware stesso.

Il nuovo ceppo di malware può essenzialmente riscrivere e adattare il suo codice in movimento, rendendolo così significativamente più difficile da rilevare e mitigare utilizzando gli strumenti di sicurezza tradizionali.

Google ha evidenziato in particolare due famiglie di malware, PROMPTFLUX e PROMPTSTEAL, che integrano modelli linguistici di grandi dimensioni direttamente nelle loro operazioni per rigenerare il codice, eludere il software antivirus ed eseguire comandi a livello di sistema in tempo reale.

PROMPTFLUX è un contagocce sperimentale che utilizza l'API di Gemini per riscrivere continuamente il suo codice VBScript, consentendogli di aggiornare le sue tattiche di offuscamento e di superare gli strumenti di sicurezza.

Mentre PROMPTSTEAL, un data miner, sfrutta il modello Qwen ospitato su Hugging Face per generare comandi Windows su richiesta per la raccolta di file e informazioni di sistema.

PROMPTSTEAL è stato direttamente associato al gruppo russo APT28 ed è già stato utilizzato in operazioni dal vivo.

Anche gli utenti di criptovalute sono a rischio, poiché il gruppo UNC1069, noto anche come Masan, ha utilizzato Gemini "per ricercare concetti di criptovaluta ed eseguire ricerche e ricognizioni relative alla posizione dei dati delle applicazioni wallet per criptovalute degli utenti".

Secondo Google, il gruppo è andato oltre creando messaggi di phishing multilingue e tentando di sviluppare codice che impersonava aggiornamenti software per rubare credenziali ed estrarre risorse digitali.

Gli attori delle minacce, compresi gli aggressori collegati alla RPDC, hanno anche utilizzato strumenti basati sull'intelligenza artificiale per generare immagini e video deepfake che impersonano individui nel settore delle criptovalute nell'ambito di campagne di ingegneria sociale volte a distribuire malware e ottenere l'accesso ai sistemi bersaglio.

Google ha dichiarato di aver già disabilitato gli account legati a queste attività, ma i rischi permangono poiché gli aggressori possono utilizzare l'intelligenza artificiale per generare script di esfiltrazione su misura, esche di phishing e comandi di sistema in grado di prendere di mira le piattaforme crittografiche e i loro utenti con una precisione molto maggiore rispetto a prima.

Tentativi passati di prendere di mira gli utenti di criptovalute utilizzando malware

Fin dall'inizio dell'industria delle criptovalute, gli aggressori hanno utilizzato vari vettori di attacco creativi per sfruttare le vulnerabilità delle piattaforme, degli utenti e dell'infrastruttura.

Il mese scorso, in un rapporto separato, Google ha identificato un altro ceppo di malware soprannominato EtherHiding che gli aggressori collegati alla Corea del Nord stavano spingendo attraverso gli smart contract blockchain su Ethereum e BNB Smart Chain per fornire segretamente payload dannosi.

All'inizio di quest'anno, Kaspersky ha segnalato un'altra operazione di malware su larga scala che ha abusato della piattaforma software SourceForge per distribuire malware di cripto-targeting mascherati da falsi componenti aggiuntivi di Microsoft Office ed è riuscita a infiltrarsi in oltre 4.600 dispositivi, principalmente in Russia.